【正文】 《 中國(guó)移動(dòng) BEA Weblogic安全配置手冊(cè) 》 《 中國(guó)移動(dòng) SUN One Portal安全配置手冊(cè) 》 《 中國(guó)移動(dòng) Oracle AS Portal安全配置手冊(cè) 》 《 中國(guó)移動(dòng) MS Sharepoint安全配置手冊(cè) 》 ? VPN 《 中國(guó)移動(dòng) CheckPoint VPN安全配置手冊(cè) 》 《 中國(guó)移動(dòng) Nortel VPN安全配置手冊(cè) 》 《 中國(guó)移動(dòng) IBM VPN安全配置手冊(cè) 》 ? 路由器，交換機(jī) 《 中國(guó)移動(dòng)華為路由器交換機(jī)安全配置手冊(cè) 》 《 中國(guó)移動(dòng) CISCO路由器交換機(jī)安全配置手冊(cè) 》 ? 防火墻 《 中國(guó)移動(dòng) CISCO PIX防火墻安全配置手冊(cè) 》 《 中國(guó)移動(dòng) Netscreen防火墻安全配置手冊(cè) 》 《 中國(guó)移動(dòng) CheckPoint防火墻安全配置手冊(cè) 》 ? 防病毒 《 中國(guó)移動(dòng) Symantec防病毒安全配置手冊(cè) 》 《 中國(guó)移動(dòng)趨勢(shì)防病毒安全配置手冊(cè) 》 《 中國(guó)移動(dòng)瑞星防病毒安全配置手冊(cè) 》 6 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 信息化系統(tǒng) 安全加固方案及實(shí)施計(jì)劃 IBM China Company Ltd. 169。 15 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全體系部署 /實(shí)施計(jì)劃（ 2） 企業(yè)信息化系統(tǒng)安全建設(shè)步驟 ? 如下圖所示，建議企業(yè)信息化系統(tǒng)安全建設(shè)分為以下三個(gè)步驟，首先是在集團(tuán)公司一級(jí)進(jìn)行總體體系部署的規(guī)劃，然后進(jìn)行試點(diǎn)，試點(diǎn)成功后進(jìn)行推廣。按照需要，跟蹤并記錄指定客戶的網(wǎng)絡(luò)操作，真實(shí)地再現(xiàn)用戶操作的過(guò)程，還原該操作。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來(lái)的威脅。 災(zāi)難分析業(yè)務(wù)風(fēng)險(xiǎn)分析容災(zāi)策略制定容災(zāi)方案設(shè)計(jì)業(yè)務(wù)連續(xù)性流程設(shè)計(jì)企 業(yè) 容 災(zāi)恢 復(fù) 方 案管理當(dāng)前業(yè)務(wù)環(huán)境分析設(shè)計(jì)實(shí)施 維護(hù)管理 分析評(píng)估 26 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 個(gè)人及桌面安全管理 ? 通過(guò)對(duì)用戶桌面電腦使用的操作系統(tǒng)和其他相關(guān)安全系統(tǒng)平臺(tái)進(jìn)行安全定制，對(duì)員工使用的桌面系統(tǒng)進(jìn)行統(tǒng)一，并對(duì)用戶日常使用過(guò)程中應(yīng)當(dāng)注意的安全問(wèn)題加以明確的規(guī)定，從而確保了對(duì)桌面系統(tǒng)的安全管理。 ? 信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的主要收益包括 明確核心信息資產(chǎn)面臨的主要風(fēng)險(xiǎn) 平衡信息安全風(fēng)險(xiǎn)和投入 培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍 31 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 ? 第二層：各部門(mén)的終端層。這個(gè)層次通過(guò)中央控制臺(tái)統(tǒng)一管理企業(yè)的防病毒事務(wù)，負(fù)責(zé)省防病毒架構(gòu)的工作策略配置的制定和分發(fā)。 ? 邊界層： 網(wǎng)關(guān)防病毒。 郵件防病毒 （集成于郵件服務(wù)器的防病毒工具，郵件防病毒網(wǎng)關(guān)） 病毒掃描與過(guò)濾，對(duì)郵件中的病毒文件掃描和過(guò)濾，保持病毒碼和掃描引擎的更新，支持對(duì)多種壓縮格式的文件進(jìn)行解壓掃描。系統(tǒng)管理員也作為網(wǎng)絡(luò)防病毒日常維護(hù)的一部分，與防病毒日常維護(hù)小組相互協(xié)調(diào)工作。 ? 省 /直轄市公司防病毒管理職能 制定防病毒有關(guān)具體管理制度和操作規(guī)程細(xì)則； 部署病毒防護(hù)策略和病毒解決方案； 協(xié)調(diào)和分配各地分公司防病毒任務(wù)和職責(zé)權(quán)限； 發(fā)布計(jì)算機(jī)病毒疫情，以及突發(fā)病毒解決方案； 根據(jù)計(jì)算機(jī)病毒疫情調(diào)整防病毒管理策略； 貫徹落實(shí)省 /直轄市公司病毒防護(hù)策略和病毒解決方案； 定時(shí)統(tǒng)計(jì)、分析、匯總和上報(bào)本公司防病毒檢測(cè)情況報(bào)告。 ? 注意不要使用未經(jīng)掃描的軟盤(pán)啟動(dòng)。 Copyright IBM Corporation 2023 數(shù)據(jù)庫(kù)基本安全技術(shù) 安全風(fēng)險(xiǎn) 解決方法 安全技術(shù) 未驗(yàn)證用戶 確認(rèn)用戶身份 帳戶認(rèn)證 未授權(quán)的數(shù)據(jù)存取 限制數(shù)據(jù)存取 訪問(wèn)控制 加密存儲(chǔ)數(shù)據(jù) 存儲(chǔ)數(shù)據(jù)加密 限制權(quán)限 權(quán)限管理 網(wǎng)絡(luò)數(shù)據(jù)偵聽(tīng)、竊取 保護(hù)網(wǎng)絡(luò) 網(wǎng)絡(luò)加密 數(shù)據(jù)破壞 備份恢復(fù) 數(shù)據(jù)庫(kù)備份 賬號(hào)密碼脆弱 強(qiáng)制密碼安全 密碼規(guī)則 缺乏跟蹤 監(jiān)控用戶的行為 安全審計(jì) 系統(tǒng)入侵 加密敏感數(shù)據(jù) 存儲(chǔ)數(shù)據(jù)加密技術(shù) 及時(shí)修補(bǔ)安全漏洞 安全補(bǔ)丁 46 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 數(shù)據(jù)庫(kù)管理系統(tǒng)層次安全加固（一） ? 數(shù)據(jù)庫(kù)安全策略要點(diǎn) 系統(tǒng)安全性策略要點(diǎn) ? 用戶帳戶管理 ? 用戶身份確認(rèn)方式管理 ? 操作系統(tǒng)安全要求 數(shù)據(jù)庫(kù)安全性策略要點(diǎn) ? 根據(jù)具體的業(yè)務(wù)應(yīng)用要求設(shè)計(jì)數(shù)據(jù)對(duì)象訪問(wèn)、數(shù)據(jù)加密 用戶安全性策略要點(diǎn) ? 密碼安全、用戶角色分組、權(quán)限管理 數(shù)據(jù)庫(kù)管理者安全性策略要點(diǎn) ? 特權(quán)用戶密碼保護(hù) ? 特權(quán)用戶使用限制 應(yīng)用程序開(kāi)發(fā)者安全策略 要點(diǎn) ? 應(yīng)用程序開(kāi)發(fā)者的權(quán)限限制 ? 應(yīng)用程序開(kāi)發(fā)者角色的使用限制 50 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻常用技術(shù) ? NAT ? 雙機(jī)熱備 ? 橋接、路由 ? 內(nèi)容過(guò)濾 ? 帶寬管理 ? 附加功能： 攻擊保護(hù)，聯(lián)動(dòng)功能，入侵檢測(cè) 56 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻管理人員角色分類 ?超級(jí)管理員 負(fù)責(zé)本公司 IP網(wǎng)絡(luò)安全管理員和安全審計(jì)員的選用和監(jiān)督，負(fù)責(zé)生成安全管理員和安全審計(jì)員的賬號(hào)及相應(yīng)權(quán)限 ?安全管理員 負(fù)責(zé)職權(quán)范圍內(nèi) IP網(wǎng)絡(luò)安全防范工作的具體實(shí)施、安全配置操作和維護(hù)工作、以及相關(guān)網(wǎng)絡(luò)安全問(wèn)題的處理。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－多級(jí)防火墻結(jié)構(gòu) 防火墻典型模型 (2)i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pI n t e r n a l F WD e s kt o pE xt e r n a l D M ZI n t e r n a l D M Z67 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用系統(tǒng)現(xiàn)狀（圖） 72 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 省公司企業(yè)信息化的網(wǎng)絡(luò)拓?fù)洌▓D） 集團(tuán)公司 CMNet 網(wǎng)管 省計(jì)費(fèi)中心 SOC 外部接入 OA 辦公自動(dòng)化 DCN 省信息化 集團(tuán)總部 信息化 …… 內(nèi)部 辦公 局域 網(wǎng) 網(wǎng)管網(wǎng)管地市 1 銀證郵 / ISP 地市 信息化 銀證郵縣級(jí)信息化 省網(wǎng)管中心 MIS服務(wù)器 地市 分公司 MIS OA服務(wù)器 因特網(wǎng) 網(wǎng)管 網(wǎng)管BOSS統(tǒng)一信息平臺(tái) 統(tǒng)一信息 平臺(tái)服務(wù)器 集團(tuán)公司 全集團(tuán)公司 信息化 CMNet 專線 集團(tuán)總部 77 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 包括中國(guó)移動(dòng)信息化系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、管理控制臺(tái)和服務(wù)器。 包括所有能被非信任來(lái)源直接訪問(wèn)并提供服務(wù)的系統(tǒng)和設(shè)備。 ? 全部集中在集團(tuán)總部的應(yīng)用： 例如電子采購(gòu)系統(tǒng)，各個(gè)業(yè)務(wù)單位沒(méi)有單獨(dú)的電子采購(gòu)系統(tǒng)，只有集中的系統(tǒng)。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用系統(tǒng)現(xiàn)狀 ? 統(tǒng)一信息 平臺(tái)應(yīng)用： 統(tǒng)一信息平臺(tái)包括了 OA系統(tǒng)，主要提供企業(yè)各種公文處理、電子郵件和信息發(fā)布等功能；同時(shí)還包括統(tǒng)計(jì)查詢、電子報(bào)銷、資源預(yù)定、辦公用品申領(lǐng)、電子期刊、檔案管理、知識(shí)管理、考核管理、研發(fā)項(xiàng)目管理、搜索引擎、遠(yuǎn)程辦公應(yīng)用等。 Copyright IBM Corporation 2023 防火墻用戶參數(shù)管理 ? 認(rèn)證模式 ? 有效時(shí)間 ? 連續(xù)認(rèn)證失敗時(shí)間 ? 連續(xù)認(rèn)證失敗次數(shù) ? 恢復(fù)時(shí)間 ? 口令管理 ? 閑置時(shí)間 ? 并發(fā)用戶管理 63 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 應(yīng)用網(wǎng)關(guān)防火墻的基本功能安全要求 有鑒別的端到端策略：一個(gè)內(nèi)部或外部網(wǎng)絡(luò)上的主體在發(fā)送數(shù)據(jù)流前，必須通過(guò)防火墻的鑒別，才能將數(shù)據(jù)流傳送給一個(gè)外部或內(nèi)部網(wǎng)絡(luò)上的客體。 Copyright IBM Corporation 2023 數(shù)據(jù)庫(kù)管理系統(tǒng)層次安全加固（三） ? 數(shù)據(jù)庫(kù)加密 對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的重要數(shù)據(jù)進(jìn)行加密處理，以實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的安全保護(hù) ? 數(shù)據(jù)庫(kù)系統(tǒng)的加密工具包 ? 數(shù)據(jù)庫(kù)加密系統(tǒng) ? 數(shù)據(jù)庫(kù)備份與恢復(fù) 備份方法 ? 導(dǎo)出、脫機(jī)備份和聯(lián)機(jī)備份 ? 備份策略建議 恢復(fù)方法 ? 數(shù)據(jù)文件損壞、控制文件損壞、文件系統(tǒng)損壞、介質(zhì)恢復(fù) ? 日志與審計(jì) 日志記錄數(shù)據(jù)庫(kù)服務(wù)、數(shù)據(jù)庫(kù)管理員和用戶帳戶的訪問(wèn)和操作行為 審計(jì)跟蹤用戶的活動(dòng)，發(fā)現(xiàn)安全設(shè)置的漏洞，分析安全事件 ? 語(yǔ)句審計(jì)、特權(quán)審計(jì)、模式對(duì)象審計(jì) ? 管理員客戶端安全 ? 數(shù)據(jù)庫(kù)安全補(bǔ)丁 52 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 網(wǎng)絡(luò)系統(tǒng)層次安全防護(hù) ? 數(shù)據(jù)庫(kù)的安全首先倚賴于網(wǎng)絡(luò)系統(tǒng) ? 網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫(kù)安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開(kāi)始的 ? 針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的安全風(fēng)險(xiǎn)，可以采用以下的網(wǎng)絡(luò)系統(tǒng)層次安全加固方法： 采用防火墻系統(tǒng) ? 對(duì)數(shù)據(jù)庫(kù)服務(wù)器與外部不受信任網(wǎng)絡(luò)進(jìn)行隔離，屏蔽外界對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊，如 SQL注入、未授權(quán)訪問(wèn)、密碼攻擊等； 采用入侵檢測(cè)系統(tǒng) ? 對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)并切斷外部點(diǎn)惡意攻擊，如 SQL注入、未授權(quán)訪問(wèn)、密碼攻擊等； 采用 VPN技術(shù) ? 對(duì)網(wǎng)絡(luò)傳輸進(jìn)行安全加密，保護(hù)數(shù)據(jù)庫(kù)訪問(wèn)的安全，能夠有效抵御網(wǎng)絡(luò)竊聽(tīng)的攻擊。 ? 病毒突發(fā)事件應(yīng)急響應(yīng)機(jī)制 成員組成 ? 管理部門(mén)、技術(shù)部門(mén)的相關(guān)人員 處理步驟和流程 ? 確認(rèn)方案 ? 隔離 ? 清楚 ? 恢復(fù) ? 后續(xù)檢查 42 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理機(jī)制建設(shè)要點(diǎn) ? 防病毒管理機(jī)制建設(shè)的主要目標(biāo)是： 有效地管理